كشف باحثون من “ESET”، أمس الثلاثاء، عن تنفيذ مجموعة “BladeHawk” لحملة قرصنة، ركّزت على «استهداف الكُرد»، وذلك بوساطة هواتف Android الخاصة بهم.

وحسب موقع (ZDNET) فإنه: «يُعتقد أن الحملة كانت نشطة منذ شهر (مارس/ آذار 2020) على الأقل».

وتُسيء الحملة، استخدام موقع فيسبوك، وتستخدم منصات التواصل الاجتماعي كنقطة انطلاق لتوزيع تطبيقات الهاتف المحمول المزيفة.

وحدّد الباحثون حتى البارحة، 6 ملفات تعريف على فيسبوك مرتبطة بـ “BladeHawk”، وتم حذفها جميعاً الآن.

وقال موقع (ZDNET) إن: «تلك الملفات الشخصية، ظهرت كأفراد في مجال التكنولوجيا وكداعمين للكُرد من أجل مشاركة روابط التطبيقات الضارة للمجموعة».

وبيّنت”ESET” أنه: «تم تنزيل التطبيقات المستضافة على مواقع ويب تابعة لجهات خارجية بدلاً “Google Play” نحو 1481 مرة على الأقل».

وتم الترويج لتطبيقات “BladeHawk” المزيفة كخدمات إخبارية تُقدّم للمجتمع الكردي.

لكن “BladeHawk”، تؤوي على “888 RAT و SpyNote”، وهما نوعان من أحصنة طروادة (RATs) التي تعمل بنظام Android، وهي تمكن المهاجمين من التجسس على ضحاياهم.

وتمت عملية الاستهداف والقرصنة التي قامت بها “BladeHawk” لمستخدمي أجهزة Android حصراً.

وعلى ما يبدو فإن “888 RAT”، هي الحمولة الرئيسية لـ “BladeHawk” حالياً؛ لأنه لم يُعثر سوى على عينة واحدة فقط في “SpyNote”.

وتم توفير نسخة متصدعة ومجانية من “حصان طروادة” عبر الإنترنت منذ عام 2019، وهو قادر على تنفيذ ما مجموعه 42 أمراً، بمجرد تنفيذها على جهاز مستهدف والاتصال بخادم القيادة والسيطرة (C2) الخاص بالمهاجم.

يُذكر أن وظائف حصان طروادة، تتضمن: “التقاط لقطات للشاشة والصور، إخراج الملفات وإرسالها إلى C2، وحذف المحتوى وتسجيل الصوت ومراقبة المكالمات الهاتفية”.

كما تتضمن الوظائف على إمكانية: “اعتراض وسرقة الرسائل النصية القصيرة أو إرسالها، مسح قوائم الاتصال، سرقة بيانات موقع GPS، وسحب أوراق الاعتماد من فيسبوك”.